iOS常用的集中数据加密方式分别为
一、证书锁定
客户端和服务器端通过证书相互确定对方是否为真正的对方,防止被中间人攻击。
证书生成过程:
// 生成1024位私钥openssl genrsa -outprivate_key.pem1024
// 根据私钥生成CSR文件 openssl req -new -key private_key.pem -outrsaCertReq.csr
// 根据私钥和CSR文件生成crt文件 openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey private_key.pem -out rsaCert.crt
// 为IOS端生成公钥der文件 openssl x509 -outform der -inrsaCert.crt -outpublic_key.der
// 将私钥导出为这p12文件 openssl pkcs12 -export-outprivate_key.p12 -inkey private_key.pem -inrsaCert.crt
不过证书验证也存在缺点,如下:
虽然证书确认提高了安全性,但也降低了安全性!如果服务器端的证书发生变化,那么客户端的服务证书也得作出相应变化,更新版本!但是服务器端应该还是很少变更证书的吧!
二、post请求
post老生常淡,上传参数需要经过加密,客户端和服务器端约定加解密方式,从而确定是否作出相应的操作,是否给出数据!
常用的字符加密方式:MD5 base64....
三、苹果官方给出的SSKeyChain
请原谅我的无知,这个我也是刚刚长得新姿势!
SSKeyChain是苹果自己的钥匙串,我们可以将账户信息放在这个钥匙串中传输,因为这个钥匙串的位置只有苹果知道,相应的能确保安全性,不过但愿苹果能够不坑人!
我们通过下面方法来使用SSKeyChain。
//获取所有账号+ (NSArray*)allAccounts;//通过账号名字获取服务名+ (NSArray*)accountsForService:(NSString*)serviceName;//通过服务名和账号获取密码+ (NSString*)passwordForService:(NSString*)serviceNameaccount:(NSString*)account;//通过服务名和账号删除密码+ (BOOL)deletePasswordForService:(NSString*)serviceNameaccount:(NSString*)account;//通过服务名和账号设置密码+ (BOOL)setPassword:(NSString*)passwordforService:(NSString*)serviceName account:(NSString*)account;。
下面是具体的使用方法,通过上面几个方法,我们可以很方便地将用户账号保存到钥匙串,或者从钥匙串中取出来。
(转载)项目地址https://github.com/samsoffes/sskeychain
#import#import"SSKeychain.h"//用变量接受服务名,账号和密码
staticNSString*kSSToolkitTestsServiceName =@"SSToolkitTestService";staticNSString*kSSToolkitTestsAccountName =@"SSToolkitTestAccount";staticNSString*kSSToolkitTestsPassword =@"SSToolkitTestPassword";
@interfaceSSKeychainTests:SenTestCase
//判断钥匙串所有账号中是否包含一个指定的账号
- (BOOL)_accounts:(NSArray*)accounts containsAccountWithName:(NSString*)name;
@end
@implementationSSKeychainTests
- (void)testAll {
// Getting & Setings Passwords
[SSKeychain setPassword:kSSToolkitTestsPassword forService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];
NSString*password = [SSKeychain passwordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];
STAssertEqualObjects(password, kSSToolkitTestsPassword,@"Password reads and writes");
// Getting AccountsNSArray*accounts = [SSKeychain allAccounts];
STAssertTrue([self_accounts:accounts containsAccountWithName:kSSToolkitTestsAccountName],@"All accounts");
accounts = [SSKeychain accountsForService:kSSToolkitTestsServiceName];
STAssertTrue([self_accounts:accounts containsAccountWithName:kSSToolkitTestsAccountName],@"Account for service");
// Deleting Passwords[SSKeychain deletePasswordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];password = [SSKeychain passwordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];
STAssertNil(password,@"Password deletes");
}
- (BOOL)_accounts:(NSArray*)accounts containsAccountWithName:(NSString*)name {for(NSDictionary*dictionaryinaccounts)
{if([[dictionary objectForKey:@"acct"] isEqualToString:name]) {returnYES;}
}
returnNO;
}
上面的方法是用来保存用户的账号信息,将账号信息保存到钥匙串中,因为钥匙串的不可见性,就已经足够地保证了用户的账号信息安全。如果我们还想让用户的账号信息得到更安全的保证,我们可以先将用户信息进行MD5加密,然后加盐。再将加密后的账号信息保存到钥匙串中。因为MD5编码的不可逆性,就更进一步地保证了用户信息的安全。
四、非对称加密
维基百科对于非对称加密的定义是:一种密码学算法类型,在这种密码学方法中,需要一对密钥,一个是私人密钥,另一个则是公开密钥。这两个密钥是数学相关,用某用户密钥加密后所得的信息,只能用该用户的解密密钥才能解密。如果知道了其中一个,并不能计算出另外一个。因此如果公开了一对密钥中的一个,并不会危害到另外一个的秘密性质。称公开的密钥为公钥;不公开的密钥为私钥。
白话文就是:
数据加密通过一对秘钥加密,一个为公开秘钥,一个为私有秘钥,只有持有公开秘钥去开锁某用户用私有秘钥加密的信息才能顺利解开!虽然公开必要被大众知道,但是你并不能推算出另一个私有秘钥;
这可以应用到金融产业相关的东西中,服务端可以确认数据来源的唯一性和正确性;
使用公开加密方式中的公钥和私钥可以进行数字签名,原理是这样子的:用私钥加密的信息,可以用公钥对其解密,用于客户验证持有私钥一方发布的数据或文件是完整准确的,接收者由此可知这条信息确实来自于拥有私钥的某人,这被称作数字签名,公钥的形式就是数字证书。例如,从网上下载的安装程序,一般都带有程序制作者的数字签名,可以证明该程序的确是该作者(公司)发布的而不是第三方伪造的且未被篡改过(身份认证/验证)。
常见的公钥加密算法有:RSA、ElGamal、背包算法、Rabin(RSA的特例)、迪菲-赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法(英语:Elliptic Curve Cryptography, ECC)。使用最广泛的是RSA算法(由发明者Rivest、Shmir和Adleman姓氏首字母缩写而来)是著名的公开秘钥加密算法。在这里我们也是使用RSA来进行公钥加密。
